标签:杀毒 杀毒软件 虚拟 虚拟机 如何 感染 提高 执行 部分
2.为什么需要EPO?
这要从反病毒技术的发展谈起,随着当今反病毒技术的不断提高,启发式查毒,虚拟机执行
等方法广泛被各杀毒厂商采用,这些技术通过判断程序是否具有通常的病毒特征来发现病毒,使得
传统类型病毒即使是新写的病毒也很容易被杀毒软件查出来。然而道高一尺,魔高一丈,为了对抗
启发查毒,聪明Vxer们发明了EPO技术。
要想明白什么是EPO,首先看看启发查毒是如何判断程序被病毒感染的。很多杀毒软件不可能对
PE文件的所有部分进行扫描,因为那样的话太耗时了,大部分只是对PE入口处的代码进行启发式检查。
试想如果只是简单地修改PE的入口,则很容易被杀毒软件识别,如果可以把病毒代码隐藏代PE文件
的某个中间的位置,那么要想找出病毒来势必要困难的多。EPO正是这样一种思想,通过把并入入口
置于PE中某个不不显眼的位置,来减少被查杀的可能性。
标签:杀毒 杀毒软件 虚拟 虚拟机 如何 感染 提高 执行 部分
原文地址:https://www.cnblogs.com/yasuoeee/p/10731716.html
